发现: 2003 年 7 月 2 日
更新: 2007 年 2 月 13 日 12:08:03 PM
别名: JS/Fortnight@M [McAfee], JS.Fortnight.b [KAV], JS/Fortnight-D [Sophos], JS_FORTNIGHT.D [Trend]
类型: Trojan Horse, Worm
感染长度: varies
受感染的系统: Windows 2000, Windows 95, Windows 98, Windows NT, Windows XP
JS.Fortnight.C 是一个放置文件的特洛伊木马,随后该文件会插入 Microsoft Outlook Express 的默认签名中。之后,每次您使用 Outlook Express 发送电子邮件时,邮件中都会包含在收件人打开电子邮件时尝试进入特定网站的代码。
JS.Fortnight.C 利用使用 IFRAME 标记(通过设置为特洛伊木马创建者的地址的 SRC 字段)的 Microsoft VM 漏洞。在一系列重定向后,编码的 JavaScript 将加载包含漏洞的小程序。在未打补丁的系统上,有各种注册表键和 Web 浏览器设置会被修改。
注意:2003 年 7 月 3 日之前的病毒定义会将某些文件检测为 JS.Fortnight。
防护
病毒定义(每周 LiveUpdate™) 2003 年 7 月 9 日
病毒定义(智能更新程序) 2003 年 7 月 3 日
威胁评估
广度
广度级别: Low
感染数量: 50 - 999
站点数量: More than 10
地理位置分布: Medium
威胁抑制: Easy
清除: Easy
损坏
损坏级别: Low
大规模发送电子邮件: Modify the Outlook Express settings to spread as a link in the default signature.
修改文件: Adds URL redirection to the host's file for many URLs.
分发
分发级别: Medium
执行JS.Fortnight.C 时,会执行下列操作:
创建文件 %WindirS.htm,该文件上会打开网站上某一页的 HTML 文件。
将 S.htm 插入默认的 Microsoft Outlook Express 签名中。之后,每次您使用 Outlook Express 发送电子邮件时,邮件中都会包含在邮件打开时尝试打开特定网站的代码。
要实现这一操作,该特洛伊木马会如下修改注册表:
将值:
Default Signature 0
添加到注册表键:
HKEY_CURRENT_USERIdentities[Default User ID]
SoftwareMicrosoftOutlook Express5.0signatures
将值:
file %windirs.htm
name Signature #1
text ""
type 2
添加到注册表键:
HKEY_CURRENT_USERIdentities[Default User ID]
SoftwareMicrosoftOutlook Express5.0signatures�0000000
在注册表中更改以下 Internet Explorer 设置以将电子邮件收件人指向特洛伊木马创建者的站点:
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainSearch Bar
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainSearch Page
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl PanelSecurityTab
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl PanelAdvancedTab HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionURLDefaultPrefix
在受害人的 Web 浏览器的收藏夹中创建三个快捷方式:
%Windir%FavoritesNude Nurses.url
%Windir%FavoritesSearch You Trust.url
%Windir%FavoritesYour Favorite Porn Links.url
修改 Windows Host 文件,将许多 URL 都重新定向为特洛伊木马创建者的站点。
建议
赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”:
禁用并删除不需要的服务。 默认情况下,许多操作系统会安装不必要的辅助服务,如 FTP 服务器、telnet 和 Web 服务器。 这些服务可能会成为攻击所利用的途径。 如果将这些服务删除,混合型威胁的攻击途径会大为减少,同时您的维护工作也会减少,只通过补丁程序更新即可完成。
如果混合型威胁攻击了一个或多个网络服务,则在应用补丁程序之前,请禁用或禁止访问这些服务。
始终安装最新的补丁程序,尤其是那些提供公共服务而且可以通过防火墙访问的计算机,如 HTTP、FTP、邮件和 DNS 服务(例如,所有基于 Windows 的计算机上都应该安装最新的 Service Pack)。. 另外,对于本文中、可靠的安全公告或供应商网站上公布的安全更新,也要及时应用。
强制执行密码策略。 复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。
配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件,这些文件常用于传播病毒。
迅速隔离受感染的计算机,防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。
教育员工不要打开意外收到的附件。 并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序,那么访问受感染的网站也会造成病毒感染。
以下指导适用于所有当前和最新的 Symantec 防病毒产品,包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。
更新病毒定义。
运行完整的系统扫描,并删除所有被检测为 JS.Fortnight.C 的文件。
删除添加到注册表的值。
有关每个步骤的详细信息,请阅读以下指导。
1. 更新病毒定义
Symantec 在将病毒定义发布到服务器之前,会对所有病毒定义进行彻底测试,以确保其质量。可使用以下两种方法获取最新的病毒定义:
运行 LiveUpdate(这是获取病毒定义的最简便方法):这些病毒定义被每周一次(通常在星期三)发布到 LiveUpdate 服务器上,除非出现大规模的病毒爆发情况。要确定是否可通过 LiveUpdate 获取此威胁的定义,请参考病毒定义 (LiveUpdate)。
使用智能更新程序下载病毒定义:智能更新程序病毒定义会在工作日(美国时间,星期一至星期五)发布。应该从 Symantec 安全响应中心网站下载病毒定义并手动进行安装。要确定是否可通过智能更新程序获取此威胁的定义,请参考病毒定义(智能更新程序)。
现在提供智能更新程序病毒定义:有关详细说明,请参阅如何使用智能更新程序更新病毒定义文件。
2. 扫描和删除受感染文件
启动 Symantec 防病毒程序,并确保已将其配置为扫描所有文件。
Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。
赛门铁克企业版防病毒产品:请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。
运行完整的系统扫描。
如果有任何文件被检测为感染了 JS.Fortnight.C,请单击“删除”。
3. 删除对注册表所做的更改
警告:赛门铁克强烈建议在进行任何更改前先备份注册表。错误地更改注册表可能导致数据永久丢失或文件损坏。应只修改指定的键。有关指导,请参阅文档:如何备份 Windows 注册表
单击“开始”,然后单击“运行”。(将出现“运行”对话框。)
输入 regedit 然后单击“确定”。(将打开注册表编辑器。)
导航至以下键并将其删除:
HKEY_CURRENT_USERIdentities[Default User ID]
SoftwareMicrosoftOutlook Express5.0signatures
退出注册表编辑器。
描述者: Scott Gettis
